【TechTarget中国原创】问:在企业中,应该如何分配许可和权限?应该如何监控?
答:权限和许可应该以某种方式集中控制。它可以通过单点登录技术、认证管理工具或者国产的内部解决方案来实现。大部分的标准和规则目前要求管理人员在访问得到同意之前不要访问员工或者定约人。如果不是自动化的,就很难满足这个要求。
商业团体的管理人员、数据的持有人或者系统持有人应该说明是否向某个用户分配了文件、应用和网络资源的某种访问权。如果单独的商业团体管理人员(HR管理人员、财务部门的管理人员、R&D管理人员等)被指定了数据持有者的角色是最好的。这也就是说他们对他们负责的数据的分类有责任。所以当一位新的HR雇员需要设置网络账户的时候,就会向HR的管理人员发送一个请求。一旦HR管理人员批准了这个访问,就会像数据管理人(通常是IT人员)发送一个请求,附带的信息是新的财务雇员需要的帐户类型和访问类型。
为了内部审计的目的,不同网络系统上的用户帐户应该和中央系统上的作对比。这样,谁被批准有某种访问类型就清楚了,确保没有孤立的帐户,并验证用户只能收到他们的工作需要的访问权限。我认为,每三到六个月执行一次最好。请注意,通常这是在关键任务的系统中执行,但是如果是通过自动工具,可以在所有的系统上执行。